タグ セキュリティ研究者
人気順 10 users 50 users 100 users 500 users 1000 users無線操作デバイス「Flipper Zero」でテスラの電気自動車を盗み出す方法が考案される
NFCやBluetooth、赤外線通信など、多種多様な無線通信技術に対応した無線コントロールデバイス「Flipper Zero」を用いて、偽のWi-Fiネットワークを構築することで電気自動車メーカー「テスラ」の自動車を盗み出すことができると、ソフトウェア企業のMyskのセキュリティ研究者が報告しています。 Can a Tesla Stop Phishi... 続きを読む
簡単にGPUメモリの内容を盗めてしまう「LeftoverLocals」脆弱性、セキュリティ研究者が警鐘/Apple、AMD、Qualcomm、Imaginationなどに影響、各社対策を表明
Google、北朝鮮政府支援組織による研究者へのゼロデイ攻撃について警告
Googleの脅威監視チームTAGは、北朝鮮政府支援の攻撃者がセキュリティ研究者を標的とするゼロデイ攻撃を行っていると報告した。X(旧Twitter)などで研究者に近づき、信頼関係を確立するとSignalなどのE2EEに移行してファイルを送りつけるという。 米GoogleでAdvanced Persistent Threat(APT)型攻撃などを監視するチー... 続きを読む
GmailやAmazonでは「HTMLにプレーンテキストでパスワードが保存されている」とセキュリティ研究者が警告
ブラウザのテキスト入力フィールドに関する脆弱(ぜいじゃく)性の分析により、大手企業や官公庁のサイトのHTMLソースコードに平文でパスワードが保存されていることが判明しました。問題を発見した専門家らは、試しに機密データを抜き取れるテスト用の拡張機能を作成したところ、いとも簡単にChromeウェブストアにアップ... 続きを読む
パスワードを盗む拡張機能が「Google Chrome」のストアに? セキュリティ研究者が警鐘/最新の「Manifest V3」拡張機能でパスワード詐取を実証、ストア審査も通過
生成AIに「無限に抜け出せない催眠術」をかけた結果...
生成AIに「無限に抜け出せない催眠術」をかけた結果...2023.08.15 08:00 Mack DeGeurin -Gizmodo US- [原文] ( R.Mitsubori ) AIもダークサイドに落ちる。 IBMのセキュリティ研究者は、OpenAIのChatGPTやGoogleのBardといった有名な大規模言語モデルに対し「催眠術をかける」ことに成功したと発表しました。 催眠術にか... 続きを読む
Teamsにマルウェアを送り込む手法をJUMPSECが発見 Microsoftは未対処
Teamsには、外部テナントが組織内のスタッフにファイルを送信することを防ぐセキュリティ機能が実装されている。この機能は組織内にマルウェアを感染させる方法として悪用される可能性があることから、クライアント側で制御できるようになっている。 しかし今回、JUMPSECのセキュリティ研究者はクライアント側のセキュリ... 続きを読む
ハッカーがTwitterやGitHubでセキュリティ研究者になりすましてWindowsやLinuxにマルウェアを感染させる「偽の概念実証エクスプロイト」を公開している
ハッカーがTwitterやGitHubでサイバーセキュリティ研究者になりすまし、WindowsやLinuxにマルウェアを感染させるため、偽の「ゼロデイ脆弱性の概念実証エクスプロイト」を公開していると、セキュリティ企業のVulnChackが報告しています。 Fake Security Researcher GitHub Repositories Deliver Malicious Implant - Blo... 続きを読む
悪意あるコードが仕込まれたChrome拡張機能が大量に発見される
セキュリティ研究者で、有名な拡張機能「AdBlock Plus」の元開発者でもあるウラジミール・パラント氏が、Chromeウェブストアにある多数の拡張機能に難読化された悪意あるコードが含まれていたことを発表したと報告しました。 More malicious extensions in Chrome Web Store | Almost Secure https://palant.info/2023/0... 続きを読む
Google Authenticatorのバックアップ機能はE2E暗号化されておらず重大なセキュリティリスクにさらされる可能性が高いことが判明
ログイン情報の複数デバイス間同期に対応した「Google Authenticator(Google認証システム)」のクラウドバックアップにおいて、エンドツーエンド(E2E)暗号化が行われていないことがセキュリティ研究者の調べで明らかになりました。Googleはこの懸念を受けて、Google Authenticatorの将来的なE2E対応を表明しています。 Go... 続きを読む
映画『Winny』公開記念 杉浦隆幸氏、高木浩光氏たちが振り返る「Winnyとは何だったのか」
映画『Winny』公開記念 杉浦隆幸氏、高木浩光氏たちが振り返る「Winnyとは何だったのか」:むしろ「本質的に良くない部分」を問うことが必要(1/3 ページ) それは権力による創造の抑圧だったのか――元IPAセキュリティセンター長、セキュリティ研究者、ユーザー、セキュリティエンジニア、「One Point Wall」開発者たち... 続きを読む
OpenAIがChatGPTなどのAIシステムのバグ報奨金プログラムを開始、報奨金は最大270万円もモデルのコンテンツフィルター解除などは除外
対話型AIのChatGPTを開発したAI開発企業のOpenAIがバグ報奨金プラットフォームのBugcrowdと提携し、AIシステムの安全性を確保するために新たなバグ報奨金プログラムを立ち上げました。脆弱(ぜいじゃく)性を報告したセキュリティ研究者には、個々の脆弱性に対して200ドル~6500ドル(約2万7000円~約86万9000円)が与えられ... 続きを読む
大手通販アプリにユーザーを監視するマルウェアが仕込まれていた疑いでGoogleがアプリの配信を停止
中国のセキュリティ研究者が、Android向け公式アプリにユーザーを監視する目的で設計されたマルウェアが含まれているとして、大手eコマースサービスの拼多多(Pinduoduo)を非難しました。これを受けて、Googleは拼多多の公式アプリをマルウェアとしてフラグ付けした上で配信を停止し、既にインストールしたユーザーに対し... 続きを読む
Windows 95のプロダクトキーは「111-1111111」や「000-0000000」でも突破できる超単純アルゴリズムで実装されていた
1995年に登場した「Windows 95」のインストール時にはプロダクトキーの入力を求めらるのですが、プロダクトキーは「111-1111111」や「000-0000000」といった単純な数字の羅列でも認証されてしまいます。このような単純なプロダクトキーでも認証可能な理由について、セキュリティ研究者のstacksmashing氏が解説しています... 続きを読む
Google検索結果にMicrosoft TeamsやOBSなど有名ソフトに偽装しマルウェアを拡散する広告が表示される事例が急増
通常のオンライン広告に見せかけてユーザーをマルウェア拡散用の不正なウェブサイトに誘導する広告は「マルバタイジング」と呼ばれます。スパム活動やセキュリティ上の脅威を追跡する企業・Spamhaus Technologyのセキュリティ研究者が2023年2月3日のブログで、過去数日間にわたりGoogle広告全体でマルバタイジングが急増... 続きを読む
データ侵害が発生したパスワード管理アプリ「LastPass」をクラッキングする方法をセキュリティ研究者が実演
2022年8月にパスワード管理アプリ「LastPass」のソースコードの一部が何者かに盗み出されたことが報じられ、その後、2022年12月になってようやくLastPassはユーザーデータが不正アクセスされたことを認めました。この事件によりユーザーがパスワードを保管している「Vault(保管庫)」のデータが流出したことが報告されて... 続きを読む
習近平はどのように中国のハッカーをレベルアップしたのか?
近年は「中国のハッキングチームが外国企業や政府機関をサイバー攻撃した」といったニュースを頻繁に聞くようになりました。この裏には習近平国家主席により主導された国家的なハッカー育成計画があったとのことで、セキュリティ研究者のDakota Caryがその政策についてまとめています。 How Xi Jinping leveled-up China... 続きを読む
日産車やホンダ車をハッキングして個人情報を取得&リモートでロックを解除したりクラクションを鳴らしたりする手法が見つかる
現代の車はオーディオシステムやカーナビにとどまらず、ロックの解除や操縦までコンピューターで制御されているため、PCやスマートフォンのようにハッキングの影響を受けるデバイスとなっています。新たにセキュリティ研究者のSam Curry氏が、「さまざまな車をハッキングしてユーザーの個人情報を取得したり、ロックを解... 続きを読む
Amazonがプライム・ビデオの視聴習慣情報が詰まった内部サーバーを間違って公開してしまう
テクノロジー関連のスタートアップがセキュリティ不備が原因でインターネット上に存在する大量のデータを流出させてしまうというケースがままありますが、データの流出に陥るのはスタートアップだけでなく、Amazonのような大企業でさえ間違いを犯すことがあります。セキュリティ研究者のAnurag Sen氏が、インターネット... 続きを読む
多数のGitHubリポジトリでマルウェアを仕込んだ「セキュリティ検証用コード」が発見される、なんと10個に1個は悪意のあるリポジトリ
世界最大級のコードホスティングプラットフォームであるGitHubでは、さまざまな脆弱(ぜいじゃく)性を検証するためのコードである「概念実証(PoC)エクスプロイト」が投稿され、セキュリティ研究者によって共有されています。しかし、このPoCエクスプロイトを精査したところ多数のコードにマルウェアが仕込まれており、セ... 続きを読む
GitHubでホストされていた「Windowsのロゴ画像」にマルウェアを隠して感染させるという恐るべき手口が発覚
by Isriya Paireepairit 以前から、AndroidやiPhoneでは画像にマルウェアを仕込むという手口が発見されていますが、新たにWindowsのおなじみのロゴマークにバックドアを紛れ込ませる恐るべき手法が見つかりました。セキュリティ研究者は、中国政府の支援を受けたハッカー集団「APT10」と関係が深いサイバー犯罪者による... 続きを読む
ハッカーがTikTokから790GB分の個人情報とソースコードを盗んだと発表、TikTokはデータ侵害を否定
ハッカーがTikTokから大規模なデータを盗み出したとして、そのスクリーンショットをネット上に公開しました。TikTokはデータ侵害が発生した痕跡はないとして情報漏えいを否定している一方、セキュリティ研究者は少なくともデータの一部は本物であるとしています。 TikTok denies security breach after hackers leak use... 続きを読む
北朝鮮のハッカーグループ・キムスキーのマルウェア「Gold Dragon」がターゲットのみを攻撃する巧妙な手口とは?
北朝鮮の国家支援型ハッカーグループであるキムスキーは、主に韓国系の組織を標的としてさまざまな悪意のある攻撃を行っています。そんなキムスキーが少なくとも5年前から使用している「Gold Dragon」と呼ばれるマルウェアについて、「どうやってセキュリティ研究者のシステムにダウンロードされることなく攻撃対象にの... 続きを読む
iOSのVPN機能は2年以上壊れた状態にあると研究者が指摘
VPN(Virtual Private Network)はネットワーク接続を暗号化することで通信内容を守る仕組みなのですが、セキュリティ研究者が、iOSのVPN機能は2年以上にわたり壊れた状態にあり、データを守っているVPNトンネルの外にデータが漏れていることを指摘しています。 VPNs on iOS are a scam https://www.michaelhorowitz.com/V... 続きを読む
あの「DOOM」をトラクターの車載システムに移植して「修理する権利」を訴えるハッカーが登場
セキュリティ研究者のSick.Codes氏が、2022年8月15日から16日にかけてラスベガスで開催されたハッカー向けイベント「DEF CON 30」で、世界最大の農業機械メーカーであるディア・アンド・カンパニーのトラクターに搭載されるシステムをハッキングして名作FPSゲーム「DOOM」を移植したと報じられています。 Def Con hacker... 続きを読む